安全通用要求和安全扩展要求的使用场合
安全通用要求针对共性化保护需求提出,等级保护对象无论以何种形式出现 ,必须根据安全保护等级实现相应级别的安全通用要求。
安全扩展要求针对个性化保护需求提出,需要根据安全保护等级和使用的特定技术或特定的应用场景实现安全扩展要求 。
安全通用要求分类(新版本)
《基本要求》文本描述框架
安全通用要求-技术要求的特点
技术要求 “从面到点” 提出安全要求,“安全物理环境”主要对机房设施提出要求,“安全通信网络”和“安全区域边界”主要对网络整体提出要求,“安全计算环境”主要对构成节点(包括业务应用和数据)提出要求,“安全管理中心”主要对系统管理、集中管控等提出要求。
安全通用要求-管理要求的特点
管理要求 “从元素到活动” 提出安全要求,“安全管理制度”、“安全管理机构”和“安全管理人员”主要提出了管理不可缺少的制度、机构和人员三要素 ,“安全建设管理”及“安全运维管理”主要提出了建设过程和运维过程的安全活动管理要求。
1、 安全物理环境
举个例子1:物理位置选择
举个例子1:物理访问控制
2、 安全通信网络
以网络架构为例:
● 保证网络通信带宽
● 保证网络设备性能
● 划分不同网络区域
● 重要区域的位置和保护
● 保证高可用性
● 重要业务优先保障(第四级)
以通信传输为例:
a)应采用校验技术或密码技术保证通信过程中数据的完整性;
b)应采用密码技术保证通信过程中数据的保密性;
c) 应在通信前基于密码技术对通信的双方进行验证或认证; (第四级)
d) 应基于硬件密码模块对重要通信过程进行密码运算和密钥管理。 (第四级)
3、安全区域边界
4、安全计算环境
a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换;
b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施;
c)当进行远程管理时,应采取必要措施防止鉴别信息在网络传输过程中被窃听;
d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别, 且其中一种鉴别技术至少应使用密码技术来实现。
5、安全管理中心
安全技术方面总结
可信计算技术
● 充分体现一个中心,三重防御的思想(和GB/T 25070保持一致)
● 充分强化可信计算技术使用的要求 (和GB/T 25070保持一致)
各个级别和层面增加了可信验证控制点。
第二级开始增加了安全管理中心 技术要求。
6、安全策略和管理制度
7、安全管理结构
8、安全管理人员
9、安全管理建设
10、安全运维管理
本期的干货内容就是这些了,如果小伙伴们也有自己的独到见解,欢迎留言讨论哦~
,
